Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Insider attacks - Comment se prémunir et éviter la mise en danger de l’entreprise ?

avril 2018 par William Culbert, Directeur Commercial Europe du Sud de Bomgar

Selon le rapport Verizon, les attaques les plus coûteuses pour les organisations en 2016 et en 2017 sont celles générées par les employés. Le rapport montre également que le coût moyen par attaque a augmenté en un an, passant de 167 800 à 173 516 dollars. Comment s’en prémunir alors qu’elles proviennent de l’intérieur même de l’entreprise ?

Le terme Insider inclut généralement les employés ayant un accès privilégié : les administrateurs IT, les opérations IT, les techniciens, le service clients etc. A cet égard, selon le rapport Bomgar 2017, seuls 41% des professionnels de la sécurité indiquent faire totalement confiance à leurs employés. Ils n’ont pas tout à fait tort. La dernière étude Verizon Data Breach Investigations Report indique que dans 60% des cas d’exploitation mal intentionnée des accès et des données par des Insiders, le mobile est essentiellement financier. Pour 17% d’entre eux, la motivation tient au fait qu’ils sont convaincus que leur espionnage ne sera pas sanctionné. Enfin, dans 15% des cas, les intrus s’emparent d’informations appartenant à l’entreprise au moment de la quitter, soit pour rejoindre un nouvel employeur, soit pour créer une structure concurrente qui utilisera les données subtilisées pour se lancer sur le marché.

Des conséquences nombreuses et parfois dramatiques

En plus du temps-homme requis afin de remédier à ces attaques, quatre conséquences principales sont identifiées. Tout d’abord la perturbation voire l’interruption des opérations, ensuite la perte d’informations, puis la perte de revenus et enfin les dégâts sur les systèmes. L’ampleur des dégâts, potentiellement dramatiques, s’explique par le fait que ces attaques sont fréquentes et qu’elles nécessitent des ressources et du temps pour être détectées (parfois plusieurs mois). Une fois les intrusions repérées, le rapport Verizon précise qu’environ 50 jours supplémentaires sont nécessaires à une organisation pour rétablir l’environnement compromis. Il existe pourtant des solutions de gestion des accès privilégiés (PAM) et de gestion des identités privilégiées (PIM) qui permettent aujourd’hui de limiter les accès et donc les risques, sans que la productivité des équipes ne soit impactée. Ces solutions permettent par ailleurs, en quelques heures seulement, une analyse et une mise en conformité des identités, selon les politiques définies, ainsi qu’une remédiation et une récupération.

Contrôler et tracer les accès privilégiés en quelques clics

Le meilleur moyen de prévenir les attaques consiste à limiter les accès aux personnes autorisées et à circonscrire leurs privilèges, en fonction de critères bien définis. Pour ce faire, des accès granulaires et maitrisés permettent de contrôler, de surveiller et de gérer les accès privilégiés pour chaque employé. L’entreprise peut définir les systèmes auxquels ces utilisateurs peuvent accéder et à quel moment. Il est également possible de définir des listes blanches et des listes noires d’applications, selon les profils d’utilisateurs. Les accès privilégiés sont ainsi parfaitement contrôlés. Par ailleurs, en cas de demande d’accès non autorisé ou d’opérations douteuses, les administrateurs du réseau reçoivent instantanément des notifications ou des alertes. Ils peuvent ainsi superviser l’ensemble des opérations. Chacune des connexions peut être listée. Pour une traçabilité encore plus importante, il est fortement recommandé d’obtenir des enregistrements vidéo des sessions.

Gérer les identifiants sur la durée, de manière automatisée

La gestion des identités, leur analyse et leur mise en conformité sont essentielles pour garantir l’intégrité du système informatique et des données de l’entreprise. Le contrôle accru des comptes privilégiés sur tout le réseau passe donc nécessairement par une gestion automatique du cycle de vie des identifiants. Celle-ci permet d’effectuer des changements de mot de passe, de manière régulière et sans intervention humaine. Ainsi, des rotations et des injections d’identifiants sont possibles, en fonction de la politique définie. En un clic, des identifiants uniques sont injectés vers les systèmes et les matériels, avec un renouvellement régulier et fréquent, et sans que ces identifiants ne soient dévoilés en clair. Cette rotation des identités privilégiées s’effectue en quelques secondes, sachant que les solutions avancées peuvent analyser et générer jusqu’à 180,000 mots de passe privilégiés par minute. Autre bénéfice, cette procédure permet de stopper toute attaque en cours, les accès étant bloqués pour les cyberpirates, avant même que ces derniers n’aient le temps d’accéder à d’autres systèmes.

Garantir la continuité des opérations avec un ratio temps-homme minimal dans des infrastructures en changement permanent

Ces solutions avancées génèrent des gains de temps très importants. Elles permettent aux équipes informatiques en charge de la sécurité du système d’agir avant que la continuité des opérations ne soit menacée. Des fonctionnalités de remédiation assurent une vérification de la conformité des identifiants et leur diversification, dans le respect des politiques en vigueur et dans un contexte d’évolution permanente des infrastructures. La synchronisation des changements entre les entités est effectuée grâce à des connecteurs prédéfinis qui garantissent une défense optimale. Un environnement cloisonné permet une détection automatique des intrusions en temps réel. Enfin, pour garantir la continuité des opérations, une récupération est possible en quelques heures, grâce au nettoyage des environnements compromis.

Les insider attacks sont en croissance constante et représentent une menace de plus en plus importante. Une nouvelle génération de solutions de sécurité est aujourd’hui disponible sur le marché. Celles-ci permettent aux entreprises de se prémunir et de renforcer leurs systèmes informatiques, tout en réduisant considérablement l’investissement en temps de leurs équipes informatiques. N’hésitez pas à vous faire accompagner par des professionnels.


Voir les articles précédents

    

Voir les articles suivants